[PIMS 개인정보보호관리체계] 2-2. 유럽의 개인정보(2)

개인정보보호관리체계

2. 해외의 개인정보

2-2. 유럽 (2)

 

# 기업의 책임성

* 기업의 책임성 강화를 위한 조치사항

- GDPR은 프로세서를 직접 규제하는 내용을 다수 포함하고 있어 프로세서(개인정보 취급자, 수탁자)도 개인정보보호를 위한 다양한 의무를 부담함.

* 분야 전문지식과 업무수행 능력, 독립성을 가진 DPO Data Protection Officer 지정

* 정기적인 개인정보 영향평가 -> 문제점 조기 발견 -> 추후 발생할 비용 소모 및 평판 침해 리스크 최소화

* DPbD (Data Protection by design and by default) 이행

- 기업이 모든 프로젝트 초기 단계에서 개인정보 보호를 중요한 고려사항으로 하여 라이프 사이클 전반에 걸쳐 개인정보를 보호하도록 권장

* 개인정보 처리 활동의 기록

* 기술적 관리적 보호조치

* EU가 인정한 적정수준의 보호조치 하에 개인정보의 자유로운 EU 역외 이전 가능

- 적정성 결정 adequacy decision을 통해 관련 법제가 적절한 수준의 보호를 보장하고 있다고 인정된 국가로 이전하는 경우

- EU 역외 적용 범위 : EU 밖에서 내부의 정보주체에게 재화와 용역을 제공, 밖에서 내부의 주체 활동을 모니터링하는 경우

- 개별 기업이 EU 주민 개인정보를 가져오는 방법 : 적절한 보호조치의 제공

- 감독 기구의 특정한 승인이 필요한 경우

- EU 지역 내 대리인 지정

* 법 위반시 과징금

 

# EU의 GDPR과 한국의 개인정보보호법

* Personal Data 개인정보의 정의

* Special categories of personal data 민감정보의 정의 : 민감정보 = 특수한 범주의 개인정보

* 정보 주체의 권리 비교

* controller : 자연인, 법인, 공공기관, 에이전시, 기타단체

* processor : controller 를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타단체. controller의 지시에 따라 개인정보를 처리해야하며 controller는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정해야함

* EU의 DPO 개인정보보호책임자 != 한국의 CPO 개인정보보호책임자 (위반시 EU, 한국 모두 처벌 가능)

* DPIA Data Protection Impact Assessment 개인정보 영향평가 (위반시 EU는 처벌 가능, 한국은 처벌 불가)

* safe - habor 협정

- GDPR에서 개인정보 역외이전을 원칙적으로 금지. 데이터 수령국의 보호체제가 적정수준일 때만 이전 가능

- EU 국과의 무역을 원하는 기업은 미국 상무성의 safe-harbor 에 등록한 후 협정 준수해야함

- 2015년 10월 유럽 사법 재판소는 safe harbor 협약을 무효 판결

-> safe harbor 협정의 7대 원칙 - 고지, 선택, 제공, 접근, 안전성, 정보 무결성, 이행

 

# privacy sheid 협약

- safe harbor 협정 무효 판결 이후 재 합의